React2Shell trở thành “cửa ngõ” để tin tặc xâm nhập và cài backdoor trên Linux

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
122
1.423 bài viết
React2Shell trở thành “cửa ngõ” để tin tặc xâm nhập và cài backdoor trên Linux
WhiteHat Team
Các chuyên gia an ninh mạng tiếp tục phải “réo tên” React2Shell, cái tên không còn xa lạ nhưng đến nay vẫn chưa hề hạ nhiệt về mức độ nguy hiểm. Lỗ hổng bảo mật này đang trở thành mục tiêu “hời” cho nhiều nhóm tin tặc, bị khai thác liên tục trong thời gian qua để phát tán mã độc, chiếm quyền điều khiển máy chủ và đánh cắp dữ liệu trên diện rộng. Theo các báo cáo mới nhất từ nhiều tổ chức nghiên cứu độc lập, React2Shell không còn là rủi ro tiềm ẩn trên lý thuyết mà đã và đang bị khai thác thực tế trong các chiến dịch tấn công quy mô lớn, có tổ chức, nhắm thẳng vào hệ thống máy chủ và hạ tầng quan trọng của doanh nghiệp.
713b7b47-de93-435b-aec0-7e37cd348266.png

Mới đây, các nhà nghiên cứu tiếp tục phát hiện React2Shell bị khai thác mạnh trong môi trường máy chủ Linux, nơi phần lớn các hệ thống web và dịch vụ backend hiện nay đang vận hành. Lỗ hổng này cho phép tin tặc thực thi lệnh từ xa trực tiếp trên máy chủ, mở đường cho việc cài cắm mã độc, chiếm quyền kiểm soát hệ thống và mở rộng tấn công sang các máy chủ khác trong cùng hạ tầng. React2Shell hiện được xếp vào nhóm lỗ hổng nguy hiểm nhất, phản ánh mức độ tác động nghiêm trọng nếu bị khai thác thành công.

Theo các phân tích kỹ thuật, nguyên nhân cốt lõi xuất phát từ cách xử lý không an toàn các request và biến môi trường trong quá trình render phía máy chủ, đặc biệt trong các ứng dụng chạy trên Linux. Kẻ tấn công có thể lợi dụng điểm yếu này để chèn và thực thi lệnh hệ thống mà không cần vượt qua bất kỳ cơ chế xác thực hợp lệ nào, biến các máy chủ web thành bàn đạp cho những chiến dịch tấn công sâu hơn, từ cài backdoor, triển khai mã độc đến đánh cắp dữ liệu và leo thang đặc quyền trong toàn bộ hạ tầng.​

Lỗ hổng được phát hiện và khai thác như thế nào?​

React2Shell đang bị nhiều nhóm tin tặc khác nhau cùng lúc vũ khí hóa. Google xác nhận ít nhất 5 nhóm APT trên thế giới đã sử dụng lỗ hổng này để triển khai nhiều loại mã độc khác nhau.

Song song đó, ghi nhận React2Shell đang được dùng để phát tán các backdoor nguy hiểm như KSwapDoor và ZnDoor, nhắm vào máy chủ Linux trong môi trường doanh nghiệp.​

Quá trình khai thác và tấn công diễn ra ra sao?​

Sau khi khai thác thành công React2Shell, tin tặc có thể chạy lệnh bash trực tiếp trên máy chủ để tải và cài mã độc từ máy chủ điều khiển. Các mã độc này hoạt động như trojan truy cập từ xa, cho phép hacker:​
  • Mở shell điều khiển máy chủ​
  • Đọc, sửa, xóa và tải dữ liệu​
  • Thiết lập reverse shell, port forwarding, SOCKS5 proxy​
  • Di chuyển ngang sang các hệ thống khác trong cùng hạ tầng​
Đặc biệt, KSwapDoor được thiết kế cực kỳ tinh vi: giả mạo tiến trình hệ thống Linux, dùng mã hóa mạnh để che giấu liên lạc, có chế độ “ngủ đông” giúp vượt tường lửa và đánh thức bằng tín hiệu bí mật.​

Rủi ro và hậu quả nghiêm trọng​

Việc React2Shell bị khai thác không chỉ gây rò rỉ dữ liệu mà còn dẫn tới:​
  • Mất toàn quyền kiểm soát máy chủ​
  • Đánh cắp khóa SSH, mật khẩu, file cấu hình .env​
  • Chiếm đoạt thông tin cloud (AWS, Azure, GCP, Tencent Cloud)​
  • Đánh cắp token, API key, kể cả khóa OpenAI, Kubernetes​
  • Cài mã đào tiền ảo, backdoor lâu dài​
Một chiến dịch có tên Operation PCPcat được ước tính đã xâm nhập hơn 59.000 máy chủ, trong khi Shadowserver ghi nhận trên 111.000 địa chỉ IP trên toàn cầu vẫn đang dễ bị tấn công.​

Mức độ ảnh hưởng và phạm vi​

Lỗ hổng ảnh hưởng trên diện rộng, đặc biệt tại Mỹ, châu Âu và châu Á. Các máy chủ web, dịch vụ cloud, hệ thống doanh nghiệp và nền tảng xử lý dữ liệu đều nằm trong nhóm nguy cơ cao.​

Khuyến nghị và giải pháp phòng tránh​

Các chuyên gia an ninh mạng khuyến cáo:​
  • Khẩn trương rà soát các ứng dụng React/Next.js đang vận hành​
  • Áp dụng bản vá và cấu hình bảo mật mới nhất từ nhà phát triển​
  • Giám sát log, phát hiện hành vi thực thi lệnh bất thường​
  • Kiểm tra rò rỉ thông tin nhạy cảm, khóa truy cập và token​
  • Hạn chế quyền truy cập, áp dụng nguyên tắc “ít quyền nhất”​
  • Tăng cường bảo vệ máy chủ bằng WAF và EDR​
React2Shell, một lỗ hổng ở tầng ứng dụng nhưng có thể kéo theo thảm họa ở toàn bộ hệ thống. Khi tin tặc không chỉ tấn công đơn lẻ mà triển khai chiến dịch quy mô công nghiệp, việc chậm vá lỗi hay chủ quan với bảo mật có thể khiến doanh nghiệp trả giá rất đắt. Rút kinh nghiệm từ React2Shell, cập nhật kịp thời và giám sát liên tục chính là tuyến phòng thủ quan trọng nhất trước làn sóng tấn công ngày càng tinh vi hiện nay.​
WhiteHat
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Mã độc PCPcat và ZnDoor liên tục khai thác React2Shell, an ninh web báo động đỏ
  • Chuỗi zero-day trong Windows RasMan mở đường cho tin tặc chiếm toàn quyền hệ thống
  • Lỗ hổng zero-day trong Chromium đe dọa hàng loạt trình duyệt dùng hàng ngày
  • React vá khẩn loạt lỗ hổng mới trong RSC: Nguy cơ tê liệt hệ thống và lộ mã nguồn
  • Tin tặc khai thác lỗi hard-coded key trong Gladinet để chiếm quyền máy chủ
  • Lỗ hổng “React2Shell” đe dọa gần một triệu máy chủ web React và Next.js toàn cầu
    • Thẻ
    apt backdoor linux mã độc react2shell
    Bên trên